Kubernetesフレームワーク：NISTとCIS

Kubernetesはコンテナオーケストレーションシステムであり、ユーザー向けのWebアプリケーションからバックエンドプロセスに至るまで、さまざまな種類のワークロードを実行するために使用されています。Kubernetes環境は多様で、1つのクラスター内で異なる種類のワークロードをホストでき、デフォルトでコンテナ間の通信を許可します。しかし、Kubernetesの複雑性が多層的であることが、新たな攻撃ベクトルを悪意のあるアクターに提供する原因となります。 

NISTサイバーセキュリティフレームワーク (CSF) とCenter for Internet Security (CIS) Kubernetesベンチマークは、組織がリスクエクスポージャーを軽減するために実施できる包括的なガイダンスと対策を提供しています。 

この記事では、これらの2つの標準について、それぞれの違いと相互に補完し合う仕組みについて紹介します。また、Kubernetesクラスターを安全に設定するための大まかな目標とガイドラインを設定する際に、これらの標準がどのように活用されているかを見ていきます。

NIST CSFの概要

NIST CSFには、セキュリティ体制を強化しようとする組織向けに、900を超えるガイドラインが含まれています。NIST CSFは、サイバーセキュリティの大まかな成果を表す一連の機能を使用しています。下位レベルの目標と成果は、これらの機能から分岐するカテゴリやサブカテゴリに分類されます。

このフレームワークは、監査のための標準としても活用でき、企業は自社のITセキュリティを同業他社と比較することができます。企業はNIST CSFを用いて、Kubernetesクラスターをはじめ、自社のインフラストラクチャにおけるさまざまなコンポーネントに潜在するサイバーセキュリティリスクを評価することができます。

Kubernetes関連の主要機能とアプリケーション

次の表に、NISTフレームワークの主要な機能と、それらがKubernetesクラスターを安全に管理するためにどのように適用されるかを示します。

CIS Kubernetesベンチマークの詳細

CIS Kubernetesベンチマークは、NIST CSFの補完的なガイドラインとして機能します。CISコントロールは、セキュアなKubernetesクラスターを構築するための具体的で実行可能なベストプラクティスのセットです。これらのベンチマークは、Kubernetesアーキテクチャに関連するすべてのコンポーネント（コントロールプレーン、etcd、ワーカーノードなど）を包括的にカバーしています。また、これらのコンポーネント上でユーザーが実行するワークロード（RBAC、ポッドセキュリティなど）のガバナンスにも対応しています。

CISベンチマークは、広範囲にわたる設定チェックのセットです。これには、各種コンポーネントのファイル所有権の確認（例：1.1.4コントローラーマネージャーポッド仕様ファイルの所有権がroot:rootに設定されていることを確認する）から、クラスターを管理するポリシーと手順が適切に設定されていることを確認する手動チェック（例：3.2.2監査ポリシーが主要なセキュリティ上の懸念事項をカバーしていることを確認する）まで、さまざまな設定項目が含まれています。

組織はこれらのベンチマークのチェックのほとんどを自動化できます。自動化できないものについては、手動監査プロセスの一環として評価できます。

以下は、CISベンチマークを使用して確認する具体的なコントロールです。

CISベンチマークには、特定のカテゴリには分類されないものの、留意すべき一般的ポリシーやセキュリティに関する推奨事項も含まれています。たとえば、ポッドやコンテナにセキュリティコンテキストを適用すること (5.7.3) や、ワークロードでデフォルトの名前空間を使用しないこと (5.7.4) などがあります。

NISTフレームワークとCISフレームワークの比較

この2つのフレームワークは、それぞれ異なるスコープと焦点を持ちながら、相互に補完するアプローチとして機能します。NISTはKubernetesクラスターを超えた広範な焦点を持っていますが、クラスター管理にも適用可能です。CISベンチマークは、正常性スコアを判断するための測定可能な一連のベンチマークとして、Kubernetesクラスターなどを安全に運用するための具体的なガイダンスとなります。

NISTフレームワークは、クラスターのセキュリティを強化するために取り組むべき作業を設定するため、より戦略的なアプローチに適しています。Kubernetesに関連する組織のサイバーセキュリティ目標に取り組む際には、大まかな計画としてNISTフレームワークが非常に有効です。

CISベンチマークはより戦術的であり、個別に改善または強化すべき領域を理解することができます。CISベンチマークにより、クラスターがどの程度適切に（または不適切に）設定されているかが詳細に見えてきます。また、指し示すことができる具体的な数値（クラスターごとに合格/不合格のベンチマークの数など）も明らかになります。これらの数値を正常性指標にロールアップすることで、改善領域を判断できます。

NISTとCISを組み合わせることで、組織はセキュリティの卓越性に向けたトップダウンのフレームワークと、各クラスターのセキュリティ強化を進める中で説明責任を果たすためのボトムアップの技術的ベンチマークを提供することができます。

これら2つのフレームワークを組織内で実装するのは、非常に大変な作業かもしれません。CISベンチマークを詳細に説明したCISドキュメントは300ページにも及びます。一方、NISTフレームワークは30ページのドキュメントであり、そこに記載された一般的なガイドラインは、組織によって具体的な形に落とし込む必要があります。

Kubernetesセキュリティの案内役としてクラウドストライクを活用

組織は、NISTが提供する一連の職務、カテゴリ、サブカテゴリを活用して、大まかなサイバーセキュリティ目標を達成するための計画を立てることができます。NISTフレームワークで定義されている主要機能のそれぞれは、組織のリスクを軽減するための、より具体的で明確なコンポーネントにまとめられています。CIS Kubernetesベンチマークは、これらのカテゴリに組み込める具体的な実装ガイダンスを提供します。つまり、CIS Kubernetesベンチマークは、Kubernetesの設定が適切かどうかを判定するための、個別の合格または不合格チェックを提供するフレームワークとなります。

サイバーセキュリティ分野のリーダーであるクラウドストライクのCrowdStrike Falcon®プラットフォームは、NISTおよびCISフレームワークに準拠するよう組織を支援します。このプラットフォームでは、組織がNISTコントロールを実装できるように、さまざまなレベルのコントロールファミリーに対応しています。さらに、クラウドストライクはCISと連携し、CISベンチマークをFalconプラットフォームに統合することで、CIS Kubernetesベンチマークをすばやく設定できるようにしています。

CrowdStrike Falconプラットフォームを使用すると、NISTおよびCISフレームワークを使用して、Kubernetes環境を簡単に保護することができます。その方法を実際に確認するには、NIST CSFの未来に備えるためにクラウドストライクが支援する方法に関する記事をお読みいただき、今すぐ無料トライアルをご依頼ください。